„Es ist Zeit für Notfallübungen – der reale Notfall kommt früh genug!”

veröffentlicht am 25. November 2021

von Hannes Hahn und Jonas Dikau, Rödl & Partner Köln, und Martin Gärthöffner

Die gewohnte, verlässliche Welt hat sich gewandelt. Der Umbau der Energieversorgung, neue Mechanismen durch Stromhandel und dezentrale erneuerbare Energiequellen – on demand gesteuert –, die Veränderungen des Klimas und deren direkt spürbare Auswirkungen, die Pandemie, Lieferengpässe und nicht zuletzt die Cyber-Kriminalität als Geschäftsmodell. Alles trägt dazu bei, dass wir „Notfall” anders begreifen und dieses Neu auch üben müssen.

Die innerhalb der letzten Jahrzehnten erfahrene Verlässlichkeit in Organisation, Technik sowie Verfügbarkeit von Ressourcen ist Vergangenheit.

• Lieferengpässe u. a. in vielen für die IT wichtigen Branchen
• Demografischer Wandel und die Auswirkungen auf die Gewinnung von Fachpersonal
• Trends (Cloud, 3D-Print, Blockchain etc.) innerhalb der IT und mit ihr einhergehende neu zu verstehende digitalisierte Geschäftsmodelle
• Enorm steigende Cyberkriminalität
• Erfahrungen durch Covid-19
• Lokale Naturkatastrophen
• U. v. m.

All das führt dazu, dass Notfälle und Katastrophen näher in das Bewusstsein des Managements und nicht nur in das der IT gerückt werden müssen. Vermehrt erstmals erstellte oder seit langem wieder aktualisierte Notfallpläne (oder ausgeweitet als Business Continuity Management – BCM) reichen dabei nicht aus.

Der dort abstrakt bzw. theoretisch skizzierte Umgang mit Notfällen muss aus heutiger Sicht trainiert werden. Genauso wie die regelmäßig und oft unangekündigten Feuerwehrübungen braucht es ein Verständnis für Übung und Lernen aus der Übung!

Der Übungsplan „Notfall und Katastrophe”

Zunächst sollte ein Plan im Vordergrund stehen, welcher aus einer Risikosicht heraus die für eine Organisation richtigen und wichtigen Bereiche, welche in einer Übung fokussiert werden sollten, abdeckt. Auch vor dem Hintergrund einer auf mehrere Jahre verteilten Prüfung empfiehlt es sich, diesen Plan strukturiert aufzubauen.

Grundlage einer solchen Planung sollte die im Rahmen eines BCM durchgeführte Business Impact Analyse (BIA) sein. Eine BIA ist in der Regel auf den relevanten Geschäftsprozessen aufgebaut und gibt wichtige Impulse für die Bestimmung des „Orts der Übung”. Hat z. B. der Logistikprozess innerhalb eines Unternehmens eine hohe Bedeutung, kann abgeleitet werden, dass es sinnvoll ist, dort eine Notfall-Übung zu verorten.

Den übergreifenden Zusammenhang liefert auch der folgende Beitrag: Business Continuity Management

1. Das fiktive Notfallszenario im „Trockendock”
2. Der simulierter Angriff im „real life”

Mit dem „fiktiven Notfallszenario” wird eine Herangehensweise verfolgt, sich dem Notfall beschreibend zu nähern, also den Ort des Notfalls, die Rahmengegebenheiten sowie das Ausmaß zu erklären, ohne es „herbei zu führen”!

Gegenstand der Übung sind somit Planspiele mit den im Fokus stehenden Verantwortlichen, aber auch mit den durch den Notfall Betroffenen.

Die im Planspiel gewonnenen Erkenntnisse (Reaktionsdauer, Handlungen, Entscheidungen, getroffene Gegenmaßnahmen, Folgewirkungen, erneute Reaktionsstrang etc.) werden mit dem Notfallteam gespiegelt. Ein Lerneffekt entsteht.

Der „simulierte Angriff” verfolgt einen anderen Ansatz. Hier wird davon ausgegangen, dass ein gewisser Reifegrad innerhalb eines Security-Operationscenter (SOC) schon gegeben ist und durch einen digital simulierten Angriff die Überwachungs- und Abwehrinstrumente in der Art greifen, dass das SOC zeitnah und richtig handeln kann und dies auch bei einer Übung tut. Bei dieser Art des simulierten Angriffs muss die Art des Angriffs mit eingeweihten Führungskräften des SOC abgestimmt sein, sodass nicht Notfall erzeugende Gegenmaßnahmen (z.B. Herunterfahren von Services im laufenden Betrieb) innerhalb der Übung angestoßen werden.

Auslösender Sachverhalt und Ort

In beiden Fällen gehört zu einer richtigen Vorbereitung einer Übung die Ausgestaltung der Ursache, also des auslösenden Sachverhalts sowie ggf. dem physischen Ort des Geschehens sowie deren Stärke / Wirkung. Mögliche Übungs-Szenarien wären beispielsweise:

• Cyberangriff
• Fehlkonfiguration / Fehlbedienung im IT-Betrieb mit zeitversetzter Auswirkung
• Defekt von zentraler Hard- und Software mit Lieferschwierigkeiten zum Ersatz
• Brand / Wasserschaden in Gebäudebereichen
• Unangekündigter und sofortiger Ausfall von Lieferleistungen
• Diebstahl / Vandalismus in Unternehmensteilen
• Fehlende Verfügbarkeit von Entscheidungs- oder Wissensträgern z. B. durch Covid-19
• U. v. m.

Bei der Ausgestaltung hängt vieles von den vorliegenden Informationen (z. B. der obigen BIA) ab. Insbesondere bei der Gestaltung komplexerer Übungen (also auch bei einer Kombination verschiedener Auslöser) ist eine genaue Kenntnis des Unternehmens, der Abteilungen, der IT-Organisation, der Infrastruktur etc. dringend notwendig.

Bei der Festlegung des auslösenden Sachverhalts ist auch nicht alleine auf die IT zu blicken. Auch die Reaktion der einzelnen Abteilungen in einem Unternehmen sind bei der Bewältigung eines Notfalls entscheidend. Ein Notfall ist in der Regel nicht durch die IT alleine zu bewältigen.

• Wie reagiert initiierend das Personal in den betroffenen Abteilungen (außerhalb der IT)?
• Wie schnell tritt das Notfall-Team und der Notfall-Stab zusammen?
• Wie handlungsfähig sind diese Einheiten?
• Wie gut ist die Unternehmenskommunikation eingebunden und kann agieren?
• Wie schnell und verlässlich agieren Dienstleister, Provider und andere Lieferanten?
• Wie haben sich die Abteilungen einbinden lassen?
• Wurden gesetzliche oder andere Vorgaben eingehalten?
• U. v. m.

Um diese Fragen im Rahmen der Übung beantworten zu können, ist die Definition des auslösenden Sachverhalts bzw. des Ort des Geschehens enorm wichtig. Auch um abzuklären,

• ob die eigene Notfallkonzeption schon vor der Übung auf solche Situationen eine Antwort vorhält (Lücken in der Konzeption) und
• ob die handelnden Akteure sich an diese Notfallkonzeption gehalten haben bzw. halten konnten!

Zu erwartende Reaktionen und Gegenmaßnahmen

Auf Basis der obigen Vorarbeit kann diese so fortgesetzt werden, sodass noch vor der Übung – mit einer gewissen Toleranz für „Unvorhergesehenes” – bestimmt wird, was als Reaktionen und Gegenmaßnahmen seitens der Übungsbeteiligten erwartet wird. Ein Gerüst gibt folgende Gliederung:

• Reaktionszeitpunkt und -dauer
• Angemessenheit der ersten eindämmenden Handlungen
• Feststellung des Notfalls / Katastrophe
• Einberufung des Notfall-Stabs / Notfall-Teams
• Zeitpunkt und Inhalt der Lagebeurteilung
• Verfügbarkeit der notwendigen Entscheider
• Angemessenheit der Gegenmaßnahmen
• Etc.

Dabei sollten bei der Ausgestaltung die gegebenenfalls schon vorliegenden Notfall-Regelungen und die Notfall-Vorsorge-Konzeption einbezogen werden.

Information von bedeutenden Stellen

Je nach Umfang und Bedeutung der Übung sollte im Vorfeld durchdacht werden, wer alles von der Übung erfahren soll. Der Grad der Ankündigung einer Übung verwässert in gewissem Umfang das Ergebnis. Die Übung aber gänzlich geheim zu halten, würde im schlimmsten Falle Kosten nach sich ziehen, dem Image des Unternehmens schaden oder im schlimmsten Fall einen „echten” Notfall auslösen Daher ist in jedem Falle in Bezug auf die Art der Übung darüber zu entscheiden,

• wer innerhalb des Unternehmens im Vorfeld informiert / eingebunden wird (z. B. C-Level- Management in den Fachbereichen und in der IT, Gebäudeschutz, Betriebsfeuerwehr, Eigentümer etc.) und
• wer außerhalb des Unternehmens eingebunden wird (z. B. kommunaler Katastrophenschutz, Polizei, Feuerwehr, wichtige Dienstleister etc.).

Zeitpunkt und Umsetzung der Notfall-Übung

Nicht zu unterschätzen ist der zu wählende Zeitpunkt der Übung. Arbeitnehmerfreundlich wäre Mittwoch 10 Uhr, aber sehr unrealistisch und vor dem Hintergrund z. B. von Cyberangriffen unüblich. Üblicher ist eine Cyber-Attacke kurz vor 18 Uhr am Freitag, um bei Erfolg, das Wochenende über, aus Sicht der Angreifer, Zeit zu haben.

Die Wahl des Zeitpunkts hängt von den vorher gemachten Entscheidungen über das Übungsziel und der individuellen Situation ab. Gegebenenfalls reicht es auf Basis des mehrjährigen Übungsplans zum Start „einfacher” zu üben und erst über den Verlauf den Umfang der Übungen zu steigern.

Ein Einstieg kann mit strukturierten Interviews zur normalen Geschäftszeit oder mit einem simulierten Cyberangriff erfolgen.

Klar und deutlich muss aber auch sein, dass ein solches Ergebnis nur bedingt Grundlage für Verbesserung ist, da keine Stress-Situationen die Handlungen beeinflussen und auch keine Verfügbarkeit hinterfragt werden kann (Urlaub, Krankheit, Vertretung, Service-Levels bei Dritten etc.).

Fazit und Berichterstattung

Das Gut einer generellen, unbedingten und nicht verhandelbaren Wertschätzung muss immer Grundlage für Notfall-Übungen sein. Eine Notfall-Übung ist eine Teamarbeit und da in der Regel selten Notfall-Übungen umgesetzt wurden und sich die Welt dynamisch ändert, muss man festhalten, dass Fehler passieren werden!

Die Bereitschaft, Fehler als etwas Positives zu erkennen, da sie helfen, sie in der Übung zu erkennen und nicht erst im realen Notfall, muss Grundlage dieser gesamten Konzeption sein.

Spätestens bei der Ausgestaltung des Fazits einer Übung, der Zusammenfassung in einem Bericht und die sich daran anschließende (oder im Idealfall laufende) Kommunikation der Ergebnisse an alle Beteiligte muss von Vertrauen an alle und Wertschätzung über die Erkenntnisse und Verbesserungen aus der Übung heraus getragen sein.

Sie haben eine Frage zum Thema? Lassen Sie uns diese gerne über das nachfolgende Kontaktformular zukommen.